The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В OpenBSD приняты изменения для дополнительной защиты памяти процессов

09.10.2022 09:36

Тэо де Раадт (Theo de Raadt) добавил в кодовую базу OpenBSD серию патчей для дополнительной защиты памяти процессов в пространстве пользователя. Разработчикам предложен новый системный вызов и связанная с ним одноимённая библиотечная функция mimmutable, позволяющая зафиксировать права доступа при отражении в память (memory mappings). После фиксации, выставленные для области памяти права, например, запрет на запись и исполнение, невозможно в дальнейшем изменить через последующие вызовы функций mmap(), mprotect() и munmap(), которые при попытке изменения будут выдавать ошибку EPERM.

Для управления возможностью менять права отражённой памяти для объектных файлов предложена новая секция Mutable BSS (.openbsd.mutable, Mutable Block Starting Symbol), а также добавлены новые флаги PF_MUTABLE и UVM_ET_IMMUTABLE. В компоновщик добавлена поддержка определения секций "openbsd.mutable" и размещения их в отдельную область в BSS, выровненную по границе страницы памяти. Через вызов функции mimmutable предоставляется возможность пометки всех отражённых областей как неизменяемых (immutable), за исключением секций, отмеченных как "openbsd.mutable". Новая возможность будет доведена до пользователей в выпуске OpenBSD 7.3.

  1. Главная ссылка к новости (https://undeadly.org/cgi?actio...)
  2. OpenNews: Выпуск OpenBSD 7.1
  3. OpenNews: Системный менеджер InitWare, форк systemd, портирован для OpenBSD
  4. OpenNews: Планы по усилению механизма защиты W^X в OpenBSD
  5. OpenNews: В OpenBSD предложен новый системный вызов unveil() для изоляции ФС
  6. OpenNews: В состав OpenBSD-Current добавлен механизм защиты RETGUARD
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57890-openbsd
Ключевые слова: openbsd, mmap
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 09:58, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    зачем это? если у вас все опенсорс - максимум что вам может понадобится это chroot для консоли или для гуи (типо flatpak) зачем усложнять методы работы с памятью?
     
     
  • 2.6, Аноним (6), 10:27, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +13 +/
    А как будто в опенсорсном Firefox перестали находить баги? Или в хромиуме? Или в ffmpeg? Или в либрофисе?
    Все что работает с внешними данными может неправильно их обработать.
     
     
  • 3.17, Аноним (17), 12:23, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Опенсорс? Внеси изменение в код, давай.
     
     
  • 4.78, фф (?), 07:17, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    а вас во всех редакторах забанили?
     
  • 2.27, n00by (ok), 15:04, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это затрудняет иньекцию непрошеного кода в процессы. Не все же руткиты с LD_PRELOAD, возможны и более сложные.
     

  • 1.4, Аноним (4), 10:01, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Надо попробовать поставить
     
     
  • 2.10, Аноним (10), 10:52, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Файфая не будет, дуалбут будет сделать муторнее чем на фрибзде(начинай с опенбзди, а аж потом ставь линукс),со звуком - вроде интеловская встройка должна завестись.
     
     
  • 3.21, Kuromi (ok), 13:20, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "дуалбут будет сделать муторнее"

    Правильные чуваки просто ставят на отдельный диск и заморачиваются с дуалбутом.

     
     
  • 4.62, Аноним (62), 01:00, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Попробуй сделать это на ноутбуке.
     
     
  • 5.67, Kuromi (ok), 02:30, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Попробуй сделать это на ноутбуке.

    Можно грузиться с подключенного по USB диска.

     
     
  • 6.84, Аноним (84), 08:46, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая идея, но...
    Опенбздя и так - самая тормозная бздя, ибо во сляву секирити! И вот именно ее надо грузить с USB-накопителя. Плавали, знаем, работает! Но хочется таки с жесткого диска, где с соседями она почти не дружит.
     
  • 5.81, ryoken (ok), 08:05, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У многих ноутов есть слот для NVME\m.SATA + порт SATA под винт\SSD.
     
  • 5.88, Янис (?), 09:12, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ставил себе OpenBSD на ноутбук рядом с Линуксом. Подкорректировал GRUB, и никаких проблем с дуал-бут. Нет проблем им уживаться на одной машине. Только проблема в том, что уже очень OpenBSD медленно работает, хотя для моих нужд все программы на нем есть.
     
  • 5.100, Stellarwind (?), 11:19, 12/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И в чем проблема, у меня в probook и m2 и sata и соответственно два диска.
     
  • 4.85, Аноним (84), 08:47, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильные чуваки просто ставят на отдельный диск и заморачиваются с дуалбутом.

    Я неправильный чувак.

     
  • 3.51, Аноним (51), 18:58, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вай-вай в опен много лучше других бздей.
     
     
  • 4.83, timewilltell (ok), 08:18, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не только лишь бздей
     
     
  • 5.87, Аноним (84), 08:53, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В отличии от бздей, в "не только лишь системах" вай-вай работает. И это с учетом того, что бздешные дрова скопипасчены из "не только лишь систем".
     
     
  • 6.96, Аноним (-), 22:27, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > В отличии от бздей, в "не только лишь системах" вай-вай работает.

    Пишу тебе ответ из бзди, с ноута, через вай-вай ...

    > И это с учетом того, что бздешные дрова скопипасчены из "не только лишь систем".

    Правда, без учета того, что писали эти дрова совсем не носители маечек с логотипом "не только лишь систем" - интересно, почему подоконники в свое время не задирали гузочку (или что там у них) из-за используемых в "не только лишь системах" дровишек под ndis-wrapper.

     
  • 3.79, Бывалый смузихлёб (?), 07:34, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > дуалбут будет сделать муторнее чем на фрибзде

    На ней его сделать как-то особенно сложно и муторно ?

     
     
  • 4.86, Аноним (84), 08:52, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Ставить надо сначала опенбзду, создать в ней отдельный раздел для линукса, поставить линукс и граб, грузить грабом в чейнлоад опенбзды. У меня со второго раза получалось.

    Касательно же фрибзды - свободный дисковый раздел отдаешь под бзд-слайс, ставишься в него, а из граба грузишь /boot/loader как kfreebsd. Работает всегда без проблем.

     
     
  • 5.89, Аноним (89), 09:21, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    чё за бред. вообще нет проблем, делаешь тот же слайс и грузишь, как хочешь. в случае bios - либо chainloader +1, но можно и kopenbsd /boot/bsd. в случае uefi - просто грузишь bootx64.efi. никаких проблем нет, ставишь linux, потом отрезаешь нужный раздел, делаешь его A6 и всё, никаких проблем
     
  • 5.104, Аноним (104), 23:20, 28/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ерунда все это. имею ноутбук с windows/linux/openbsd на борту, все это на одном диске, опенка ставил в последнюю очередь. загрузкой управляет gummiboot(который systemd-boot). с помощью fdisk выделил раздел, указал файловую систему openbsd data, там же, далее стандартная установка openbsd, после оттуда же смотрировал efi раздел, положил загрузчик (BOOTX64.EFI) и приписал его в конфиг gummiboot(две строчки), все, работает.
     
  • 3.99, Аноним (-), 10:18, 12/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Файфая не будет,

    Ну так и станет безопаснее как раз, что тебе не нравится? Еще проводную сеть не подключай и вообще хорошо.

     

  • 1.7, Аноним (7), 10:27, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >mimmutable, позволяющая зафиксировать права доступа при отражении в память (memory mappings). После фиксации, выставленные для области памяти права, например, запрет на запись и исполнение, невозможно в дальнейшем изменить через последующие вызовы функций mmap(), mprotect() и munmap(), которые при попытке изменения будут выдавать ошибку EPERM.

    Затем последует mmoreimmutable, которая будет работать так:

    при вызове mimmutable будет выдаваться ошибка EPERM

     
     
  • 2.59, Аноним (51), 21:23, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не понял шутку, пояснишь?
     

  • 1.8, Хру (?), 10:34, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще довольно логичный шаг, отрубающий на корню половину хаков, использующих перехват системных вызовов. Конечно ROP и его друзья никуда не денутся, но одно дело писать эксплойты под целевую версию софта, а другое дело делать постоянные модули типа читов :)
     
     
  • 2.63, Аноним (62), 01:02, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А теперь попробуй написать патч, реализующий предложенные преимущества разграничения например в firefox или chomium-е.
     
     
  • 3.90, Аноним (90), 10:23, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пункт первый — объявляем JS главным источником глобального потепления…
     

  • 1.12, myhand (ok), 11:13, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Просто спрашивать разрешения Тэо.  Всегда.
     
     
  • 2.16, YetAnotherOnanym (ok), 12:08, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    'cat Анекдот_о_том_как_Сталин_руководил_сортировкой_картошки.txt'
     
     
  • 3.30, Аноним (51), 15:25, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не гуглится, расскажи
     
     
  • 4.32, Fracta1L (ok), 15:52, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Потому что это анекдот про Лукашенко
     
  • 4.33, YetAnotherOnanym (ok), 15:56, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Приходит к Сталину посетитель на приём, а тот по телефону разговаривает:
    - Хорошая... Плохая... Хорошая... Плохая...
    И так несколько часов. Наконец, кладёт трубку и восклицает:
    - Что за люди, картошку без меня перебрать не могут!
     
     
  • 5.57, Аноним (57), 20:41, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так не смешно же.
     
     
  • 6.94, Аноним (94), 18:17, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что главным героем в оригинале был Лукашенко.
     

  • 1.13, Аноним (13), 11:24, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а цифры по просадке производительности есть ?
    или хотя бы как это можно будет отключить если вдруг окажется что падение местами не на жалкие проценты а на порядки ?
     
     
  • 2.19, Мимолеопард (?), 12:48, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    o_O
    точнее O_O
    Вы адекватно понимаете прочитанное?
    Один вызов подпрограммы, если она сама захотела это. Несколько наносекунд у загрузчика на запуск процесса с дополнительным сегментом.
    Откуда проценты и порядки? Или вы создаёте процессы сотнями тысяч в секунду?
     
     
  • 3.28, n00by (ok), 15:08, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это здесь «нормально», в соседней теме у экспертов защищённый режим реально тормозит по сравнению с реальным, а прерывания надо отключать для ускорения сетевых операций.
     
     
  • 4.35, Igraine (ok), 16:23, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Можно же просто скрыть комментарии и не читать толстый троллинг и глупости.
     
     
  • 5.41, n00by (ok), 17:52, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В том случае, скорее, человек сообщил актуальную информацию, но актуальной она была во времена i80386, с тех пор он что-то подзабыл и перепутал. Потом подобные комментарии читают, учатся, и получаются вот такие интересные гипотезы. Да и как его скрыть, если я его ник вижу впервые? А Анонимы подчас пишут дельное, потому профессиональные мракобесы за ними и прячутся.
     

  • 1.23, Аноним (23), 14:22, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А когда появится софт, использующий эту фичу? Та же джава (tomcat например)?
     
     
  • 2.64, Аноним (62), 01:05, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В ближайшее никогда. OpenBSD - это испражнения Тео и компании на тему гипотетической безопасности. Пацаны с каждым новым релизом всё дальше отрываются от ральности и уходят в свой выдуманный "безопасный" мир.
     
     
  • 3.93, Аноним (23), 17:17, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я знаю: на нём часто делают VPN (IPSec tunnel VPN).

    Но это не отвечает на вопрос : когда появится софт.

     

  • 1.25, Аноним (25), 14:46, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Немного не по теме. Почему в Linux системах для распаковки архива задействуется только одно ядро процессора при наличии нескольких? Так и не смогли распараллелить задачу?
     
     
  • 2.26, Аноним (23), 14:55, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не всегда это эффективно. Мы на работе пытались в много потоков сделать одну задачу например: получилось медленнее...
     
     
  • 3.101, Аноним (101), 14:04, 12/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это всегда эффективно. Раз не вышло, значит делали неправильно.
     
  • 2.29, Аноним 80_уровня (ok), 15:16, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    pbzip2 -dc myfile.tar.bz2 | tar x
     
  • 2.31, birdie (ok), 15:25, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это ограничение формата сжатия, а не [ядра] Линукса.

    Под Windows/MacOS вы увидите то же самое.

     
  • 2.47, Аноним (47), 18:21, 09/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > для распаковки архива

    потому что запись идёт медленнее распаковки.

     
  • 2.80, Ан (??), 07:51, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Причем здесь линукс, это же про прикладное ПО. Мне кстати не нравятся когда приложение занимает все ядра, оно в этом случае другие приложения становятся неотзывчивыми, хотя бы одно физическое ядро надо не трогать.
     
  • 2.91, Killer (??), 12:35, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Потому что те кто пишет на си не умеют потоки. Норм работа с потоками начинается на уровне c++ futures, async, task.
     
     
  • 3.92, Аноним (92), 15:22, 10/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты хоть смо рел эту норм легализацию, дерево? Там под капотом pthreads
     

  • 1.36, Аноним (36), 16:39, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проверьте кому не лень, чтобы этот писака дважды free не вызвал, как OpenSSH.
     
  • 1.39, Krafter (?), 16:56, 09/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    для того чтобы потому менять секцию Mutable BSS, нужно еще пару секций для защиты придумать
     
  • 1.82, timewilltell (ok), 08:14, 10/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отлично!
     
  • 1.97, Golangdev (?), 02:50, 11/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зачем это ?
    Есть же Docker / Podman
     
     
  • 2.102, Stellarwind (?), 11:55, 13/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем вообще в машине багажник? Есть же прицеп.
     

  • 1.103, Neon (??), 22:00, 16/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И кто это чудо реально практически использует ? А не поиграться с экзотикой
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру